策略路由说明(PPT 41页).ppt

1、策略路由说明,介绍的内容,策略路由介绍 不同品牌型号的策略路由配置方法（CISCO 、中兴H3C、华为、港湾） ASM策略路由联动配置 目前策略路由存在的问题 后续研究,策略路由介绍,策略路由只不过是复杂的静态路由。静态路由是基于报文的目的地址，将报文转发到指定的下一跳路由器，但策略路由是基于报文源地址转发报文至指定的下一跳路由器。策略路由还可以链接到扩展IP访问列表，以便路由器可以基于像协议类型和端口号这样的标志进行路由选择。同策略路由一样，策略路由会对路由器的路由选择产生影响，但仅限于那些配置了策略路由的路由器。 策略路由只对接口的入方向报文做转发。,普通IP报文的三层转发流程,查路由表，

2、封装,入接口,解封装,出接口,策略路由的报文处理流程,策略路由位于IP 层，在做IP 转发前，如果报文命中某个策略路由对应的规则，则要进行相 应的策略路由的动作(重定向到指定下一跳)，然后根据重定向的下一跳代替报文的目的IP 去查FIB 表(转发信息表)，做IP 转发。,匹配策略路由？,yes,根据用户设置的下一跳查找出接口,根据路由表进行转发,no,入接口,下一跳可达？,yes,出接口,no,策略路由的报文流程(处理前),策略路由的报文流程(处理后),策略路由的效果说明,可用在终端电脑上面使用tracert等命令进行路由跟踪来查看实际的路径 tracert -d 192.168.56.254

3、 通过最多 30 个跃点跟踪到 192.168.56.254 的路由 1 4 ms 2 ms 2 ms 192.168.54.1 2 1 毫秒 1 毫秒 1 毫秒 192.168.56.254 通过最多 30 个跃点跟踪到 192.168.56.254 的路由 1 2 ms 1 ms 1 ms 192.168.54.1 2 3 ms 1 ms 1 ms 192.168.100.1 3 1 ms 1 ms 1 ms 192.168.56.254,策略路由与路由策略区别,这是两个不同的概念，应用领域不同。 策略路由主要是控制报文的转发，即可以不按照路由表进行报文的转发（因为一般报文的转发要通过查找

4、转发表，而配上策略路由后就不用管转发表了，可以随心所欲将报文从转发出去了）。 路由策略主要控制路由信息的引入（控制哪些路由信息引到路由协议中，哪些路由器不引入，主要是针对某种路由协议，是否允许其它路由信息引进来）、发布（控制哪些发布出去，哪些不发布出去，通过同一种路由协议发布出去）、接收（控制哪些接收，哪些丢弃，）。,策略路由的配置过程,配置ACL 指明要进行策略路由的ip地址信息，只对permit有效 配置策略路由 指明策略路由的一些信息(主要是下一跳） 应用策略路由 在接口上面（虚接口或者物理接口上）,不同品牌型号的策略路由配置方法,华为策略路由的其它用法 华为支持使用traffic-re

5、direct进行策略路由 华为支持使用traffic-policy进行策略路由 华为支持使用route policy进行策略路由 华为支持使用eacl进行策略路由 H3C策略路由的其它用法 H3C支持使用traffic-redirect进行策略路由 H3C支持使用qos policy进行策略路由 H3C支持使用route policy进行策略路由 H3C支持使用polcy based route进行策略路由 CISCO、中兴的策略路由使用方法 CISCO、中兴目前已知使用route-map的方法 港湾策略路由的配置方法 港湾支持使用setrvice-policy进行策略路由,CISCO的配置-

6、route-map例子,interface Vlan54 description yangfa ip address 192.168.54.1 255.255.255.0 ip policy route-map policy-route ! interface Vlan100 description policy-vlan ip address 192.168.100.1 255.255.255.0 ! access-list 10 permit any route-map policy-route permit 10 match ip address 10 set ip next-hop 1

7、92.168.100.123 !,CISCO的配置-查看策略路由信息,show route-map（这条特权级可执行命令显示所配置的路由图。并且可以获知每一路由图定义的策略，同时也显示有多少报文与策略语句匹配) CISCO-3560#show route-map route-map p, permit, sequence 10 Match clauses: ip address (access-lists): pan Set clauses: ip next-hop 192.168.100.123 Policy routing matches: 4 packets, 561 bytes,CIS

8、CO的配置-查看策略路由信息,show ip policy (这条特权级可执行命令显示在哪些接口应用了哪些路由图) CISCO-3560#show ip policy Interface Route map Vlan54 p debug ip policy(使用这条命令可以得知正在使用什么策略路由。同时也显示一个报文是否与标准匹配的信息。如果匹配的话，则进一步显示其相应的路由信息。) CISCO-3560# debug ip policy IP:s=192.1.1.11(Ethernet0), d=152.1.1.1,len 100,policy match IP: route map p,i

9、tem 10,permit IP:s=192.1.1.11(Ethernet0), d=152.1.1.1(serial0),len 100,policy routed IP:Ethernet0 to serial0 152.1.1.1,CISCO的配置-策略路由的说明,在CISCO IOS 11 . 0中最先应用基于策略的路由，但未必11.0以后的版本都支持策略路由 35系列的交换机的IOS不能是ipbase的版本 35系列的交换机要求先开启sdm后 sdm prefer routing exit reload(必须重新启动交换机),中兴的配置,中兴配置策略路由的方法与CISCO类似，同样使

10、用route-map来配置路由图,H3C的配置- policy-based-route例子,acl number 3040 rule 0 permit policy-based-route policy-route permit node 10 if-match acl 3040 apply ip-address next-hop 172.16.50.123 interface Ethernet0/3.40 ip policy-based-route policy-route,H3C的配置- 查看policy-based-route信息,可用使用 dis ip policy-based-rou

11、te来查看信息 H3C-Routerdis ip policy-based-route policy Name interface policy-route Ethernet0/3.40 可以使用 dis ip policy-based-route statistics 看更详细情况 H3C-Routerdis ip policy-based-route statistics interface Ethernet 0/3.40 Interface Ethernet0/3.40 policy based routing statistics information: policy-based-r

12、oute: policy-route permit node 10 apply ip-address next-hop 172.16.50.123 track 1 Denied: 377, Forwarded: 170 Total denied: 377, forwarded: 170,H3C的配置- 查看policy-based-route信息,可用使用 dis policy-based-route来查看信息 H3C-Routerdis policy-based-route policy-based-route : policy-route Node 10 permit : if-match

13、 acl 3040 apply ip-address next-hop 172.16.50.123 track 1,H3C的配置- qos policy例子,1、配置ACL策略 H3C7506Eacl number 3040 H3C7506E-acl-adv-3040 rule 10 permit ip source 203.133.129.16 0 dest any H3C7506E-acl-adv-3040quit 2、配置匹配ACL的流分类1 H3C7506E traffic classifier 1 H3C7506E-classifier-1 if-match acl 3040 H3C

14、7506E-classifier-1 quit 3、配置刚才定义的流分类1的行为，定义如果匹配就下一跳至203.133.131.200 H3C7506E traffic behavior 1 H3C7506E-behavior-1 redirect next-hop 203.133.131.200 H3C7506E-behavior-1 quit 4、将刚才设置的流分类及行为应用至QOS策略中，定义policy 1 H3C7506E qos policy 1 H3C7506E-qospolicy-1 classifier 1 H3C7506E-qospolicy-1 behavior 1 H3

15、C7506E-qospolicy-1 quit 5、在接口上应用定义的QOS策略policy 1 H3C7506E interface GigabitEthernet 2/0/11 H3C7506E-GigabitEthernet2/0/11 qos apply policy 1 inbound H3C7506E-GigabitEthernet2/0/11 quit,H3C的配置- route policy例子,# acl number 3000 rule 0 permit ip source 192.168.1.0 0.0.0.254 # interface Ethernet1/0 ip a

16、ddress 192.168.1.1 255.255.255.0 ip policy route-policy routeloadshare # route-policy routeloadshare permit node 1 if-match acl 3000 apply ip-address next-hop 140.1.1.2 #,H3C的配置- traffic-redirect例子,# acl number 3000 rule 0 permit ip source 192.168.3.0 0.0.0.255 # interface GigabitEthernet6/1/1 traff

17、ic-redirect inbound ip-group 3000 rule 0 next-hop 192.168.0.12 #,华为的配置- traffic-policy例子,与H3C qos policy类似 # acl number 3000 rule 1 permit ip source 192.168.1.0 0.0.0.255 # traffic classifier 1 if-match acl 3000 # traffic behavior 1 redirect ip-nexthop 100.0.0.1 # traffic policy 1 classifier 1 behav

18、ior 1 # interface GigabitEthernet2/0/0 traffic-policy 1 inbound #,华为的配置- eacl例子,RouterA rule-map intervlan r1 ip any 15.15.15.0 0.0.0.255 RouterA flow-action a1 redirect ip 30.0.0.5 backup RouterA eacl e1 r1 a1 RouterA - pos8/0/0 access-group router eacl e1,华为的配置- traffic-redirect例子,同H3C traffic-red

19、irect,华为的配置- route policy例子,同H3C route policy,港湾的配置- setrvice-policy例子,class-map asm-class match source-address 172.19.150.20 255.255.255.0 exit policy-map asm-policy match class-map asm-class policy-route next-hop 10.10.10.10 exit exit interface ethernet 2/5 setrvice-policy input asm-policy exit,AS

20、M的配置,ASM具有两个IP地址，其中一个是管理地址，这个配置在eth2上面，网关也配置在eth2上面。一个地址是路由地址，这个地址配置在eth0上面 要求路由地址的网线直接和做策略路由的交换机进行连接，该端口为非trunk口 ASM管理页面上设置的下一跳地址为与eth0的交换机地址，然后点击获取下一跳MAC地址。,目前策略路由存在的问题,1.第二个下一跳的问题 绍兴银行配置了两个下一跳（都在一个vlan），但是在第一个下一跳出现问题的时候，没有转到第二个下一跳。公司使用3560进行测试的时候是可以的，这里存在的可能原因有 A.IOS的版本不相同 B.交换机的型号不相同 C.绍兴银行是热备，我

21、们这边没有,目前策略路由存在的问题,2.策略路由失效问题 义乌市政府配置了两个下一跳（都在一个vlan）， 第一个下一跳失效以后会到第二个下一跳，但是第二个 下一跳失效之后不能回到以前的路由。公司使用MSR20进 行测试的时候是可以的，这里存在的可能原因有 A.系统的版本不一样 B.交换机的型号不相同,目前策略路由存在的问题,3.下一跳存在激活IP的情况 公司测试的时候配置一个下一跳，然后存在一个激活的端口（都在一个vlan），会出现第一个ip失效时候，不回到以前的路由。这里可能存在的原因有 A.对于CISCO，可以采用track进行跟踪，这个要进行测试和用户实际环境的校验，可能会出现IOS版

22、本的问题（绍兴银行） B.对于H3C，可以采用track进行跟踪，这个要进行测试和用户实际环境的校验，可能会出现系统版本的问题 C.对于huawei和其它厂家，目前技术未知且无法进行测试,目前策略路由存在的问题,4.双机热备的问题 宁波工商存在两个核心交换机，配置策略路由的时 候对两个ASM设备划分了两个VLAN，且只在一个交换机 上面进行配置，这样会导致这个交换机出现问题时候全网 访问不受控制，达不到真正的冗余。,目前策略路由存在的问题,针对以上几个问题建议将来部署方式 ： 1.如果我们能够研究透第三个问题，且使用第三个问题的研究结果解决问题1和问题2，那么我们将来的部署方式为 A.在两个核

23、心交换机上面划分一个相同的VLAN B.将两个ASM分别接在两个核心交换机上面 C.核心交换机设置两个下一跳（针对网络的来源地址进行一个负载的分担） D.采用问题3的解决方法进行跟踪 该部署方式可以做到真正的冗余且可靠 2.如果问题三的研究结果受到很大的限制（比如交换机不支持），那么我们将来的部署方式为 A.找一个所有报文都汇集的交换机（一般为主核心交换机）上面划分两个不同的VLAN B.两个ASM接在配置的交换机上面的两个不同VLAN C.配置的交换机设置两个下一跳（针对网络的来源地址进行一个负载的分担） 该部署方式在主核心交换机出现故障的时候不能进行冗余，且可能存在义乌的策略路由失效问题

24、对于主核心交换机出现故障的时候不能进行冗余，建议通过管理的方法进行弥补（核心交换机都出现问题，导致重 大网络事情，我们也没有必要进行网络控制） 3.如果出现义乌的策略路由失效问题，则我们按照下面的方法进行部署 A.找一个所有报文都汇集的交换机（一般为主核心交换机）上面划分一个VLAN B.两个ASM接在配置的交换机上面的一个VLAN C.配置的交换机设置两个下一跳 D.将第二个ASM运行模式设置为紧急模式（即容许所有的报文通过）,后续研究-地址不可达的研究,如果网线直接连接（怀疑交换机会判断是否能够将报文交给下一跳，根据mac地址，根据icmp？）拔掉网线时候会检测出来。 地址不可达h3c有t

25、rack技术，cisco也有track技术，华为未知,后续研究-CISCO的Track,Cisco可以进行track的跟踪，判断是否可以通讯 配置的过程是先使用ip sla配置，然后使用track配置，然后在next-hop中指定 set ip next-hop verify-availability 192.168.3.2 1 track 123（交换机和路由器的配置命令好像不一致) ip sla monitor 1 type echo protocol ipIcmpEcho 192.168.3.2 ip sla monitor schedule 1 life forever start-time now track 123 rtr 1 reachability route-map test permit 10 match ip address lan-erp set ip next-hop verify-availability 192.168.3.2 1 track 123,后续研究-H3C的track配置,配置nqa 配置track 修改策略路由配置,Nqa配置,使用nqa命令进行配置 Nqa支持各种类型的检测，我们采用常用的